코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장
Contents
코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
지난 08월 16일(금) 러시아어 파일명을 쓰는 악성파일이 보안 모니터링 과정 중에 발견되었습니다. 그러나 해당 악성문서는 한국어 기반으로 제작되었습니다.
ESRC는 공격벡터와 코드기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 분석을 완료하였습니다.
코니 시리즈는 수년간 꾸준히 발견되는 위협 캠페인 중에 하나이며, 06월 10일 【[스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견】 리포트를 공개한 바 있습니다.
■ 러시아 문서로 위장한 APT 공격 분석
|
|
파일명
작성자
최종 수정자
|
|
최종 수정일
|
|
MD5
|
|
О ситуации на Корейском полуострове и перспективах диалога между США и КНДР.doc
000
Windows User
|
|
2019-07-12 09:30:39 (UTC)
|
|
660a640e702606341ab0d42724380322
식별된 악성파일은 MS Word 문서파일로 파일명은 'О ситуации на Корейском полуострове и перспективах диалога между США и КНДР.doc' 입니다.
이 러시아어를 구글 번역기에 적용해 한국어로 변환하면 '한반도의 상황과 미국과 북한의 대화전망' 표현이 됩니다.
[그림 1] 악성파일명 러시아어 구글 번역기 화면
문서파일 내부 코드를 보면, 'ObjectPool' 스트림과 VBA 매크로가 포함된 것을 알 수 있습니다. 악성 문서파일은 매크로 기능을 통해 악성코드가 작동하고, 오브젝트에 포함된 코드를 통해 명령제어(C2) 서버로 연결을 시도합니다.
[그림 2] DOC …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
지난 08월 16일(금) 러시아어 파일명을 쓰는 악성파일이 보안 모니터링 과정 중에 발견되었습니다. 그러나 해당 악성문서는 한국어 기반으로 제작되었습니다.
ESRC는 공격벡터와 코드기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 분석을 완료하였습니다.
코니 시리즈는 수년간 꾸준히 발견되는 위협 캠페인 중에 하나이며, 06월 10일 【[스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견】 리포트를 공개한 바 있습니다.
■ 러시아 문서로 위장한 APT 공격 분석
|
|
파일명
작성자
최종 수정자
|
|
최종 수정일
|
|
MD5
|
|
О ситуации на Корейском полуострове и перспективах диалога между США и КНДР.doc
000
Windows User
|
|
2019-07-12 09:30:39 (UTC)
|
|
660a640e702606341ab0d42724380322
식별된 악성파일은 MS Word 문서파일로 파일명은 'О ситуации на Корейском полуострове и перспективах диалога между США и КНДР.doc' 입니다.
이 러시아어를 구글 번역기에 적용해 한국어로 변환하면 '한반도의 상황과 미국과 북한의 대화전망' 표현이 됩니다.
[그림 1] 악성파일명 러시아어 구글 번역기 화면
문서파일 내부 코드를 보면, 'ObjectPool' 스트림과 VBA 매크로가 포함된 것을 알 수 있습니다. 악성 문서파일은 매크로 기능을 통해 악성코드가 작동하고, 오브젝트에 포함된 코드를 통해 명령제어(C2) 서버로 연결을 시도합니다.
[그림 2] DOC …
IoC
660a640e702606341ab0d42724380322
68b080cdc748e9357e75a65fba30eaa7
c313a3aca90a614dd0ff6ce28c6ae2f0
http://1apps.com
http://clean.1apps.com/1.txt
http://clean.1apps.com/2.txt
http://clean.1apps.com/3.txt
http://clean.1apps.com/4.txt
http://ftpupload.net
http://handicap.eu5.org
http://handicap.eu5.org/1.txt
http://handicap.eu5.org/2.txt
http://handicap.eu5.org/3.txt
http://handicap.eu5.org/4.txt
68b080cdc748e9357e75a65fba30eaa7
c313a3aca90a614dd0ff6ce28c6ae2f0
http://1apps.com
http://clean.1apps.com/1.txt
http://clean.1apps.com/2.txt
http://clean.1apps.com/3.txt
http://clean.1apps.com/4.txt
http://ftpupload.net
http://handicap.eu5.org
http://handicap.eu5.org/1.txt
http://handicap.eu5.org/2.txt
http://handicap.eu5.org/3.txt
http://handicap.eu5.org/4.txt